متقاضی:

متقاضی آزمون و ارزیابی محصولات مبتنی بر زیرساخت کلید عمومی که می‌تواند تولیدکننده محصول، مشتری سفارش‌دهنده، صاحب امتیاز و یا نماینده فروش محصول باشد.

محصول:

پودمان‌های رمزنگاشتی مانند توکن‌های هوشمند، کارت‌های هوشمند، سیم‌کارت‌های هوشمند، پودمان‌های سخت‌افزاری تحت شبکه و پودمان‌های رمزنگاشتی نرم‌افزاری که مطابق با تعاریف استاندارد ملی « الزامات امنیتی پودمان رمزنگاشتی در زیرساخت کلید عمومی » پیاده‌سازی شده باشند.

پیش‌نیازها

اقلامی که باید برای ارزیابی پودمان رمزنگاشتی به آزمایشگاه تحویل داده شود می­بایست مطابق با جدول زیر باشد.

نوع فهرست اقلام موردنیاز توضیحات

مستندات

·      مستندات نصب، راه­اندازی و آغاز به کار پودمان رمزنگاشتی

·      مستندات راهبری و کاربری و کلیه ابزارهای جانبی

·      مستندات معماری امنیتی محصول مطابق با پیوست الف از « استاندارد ملی الزامات امنیتی پودمان رمزنگاشتی »

·     سند سیاست‌های امنیتی پودمان رمزنگاشتی مطابق با پیوست ب از « استاندارد ملی الزامات امنیتی پودمان رمزنگاشتی »

·   یک نسخه از گواهي­هاي اخذشده (در صورت وجود) به همراه اطلاعات لازم جهت اعتبارسنجی گواهی مربوطه

·    مستندات مرتبط با شرکت یا بنگاه متقاضی ارزیابی، اعم از کاتالوگ محصولات، زمینه‌های فعالیت و رزومه شرکت

·    تکمیل فرم‌های خوداظهاری مطابق با فرم « خوداظهاری »

·       چنانچه گواهي امنيتي دريافت شده برای توکن متعلق به يک استاندارد بومي باشد، يک نسخه از اين استاندارد نيز مورد نياز مي‌باشد.

·       کلیه مستند معماری محصول به همراه سایر اقلام بصورت محرمانه نزد آزمایشگاه بایگانی می‌گردد.

·       الگوی ساختاری سند سیاست‌های امنیت در « الگوی ساختاری سند سیاست‌های امنیتی » آورده شده است.

·       برای کلیه مستندات، نسخه الکترونیکی در قالب PDF کفایت می‌کند. نسخه الکترونیکی نباید اسکن یه سند فیزیکی باشد.

·      چنانچه محصولی بیش از یک بار فرایند ارزیابی را در آزمایشگاه طی کند، لازم است مستندات با ذکر تغییرات، به‌روزرسانی شده و تحویل آزمایشگاه گردد.

پودمان رمزنگاشتی

·     10 عدد نمونه عملیاتی و قابل ارائه به بازار از پودمان رمزنگشتی

·      1 عدد نمونه کامل مدار الکترونيکي پودمان­ بدون روکش و بدنه

·      شماره سریال پودمان‌های رمزنگاشتی باید در زمان تحویل و یا نصب توسط متقاضی به صورت مکتوب ارائه گردد.

·      پودمان‌های دریافت شده توسط آزمایشگاه، عودت داده نخواهد شد.

·      منظور از برد کامل، يک عدد پودمان مورد آزمون بدون بدنه يا پوشش می باشد.که لازم است برد ارائه شده سالم و قابل استفاده باشد.

·      کلیه پودمان‌هی رمزنگاشتی ارائه شده به آزمایشگاه، بایگانی شده و به متقاضی عودت داده نخواهد شد.

ابزارهای جانبی

·   کلیه راه‌اندازها و واسط‌های قابل پشتیبانی توسط پودمان برای سیستم‌عامل‌ها و پلتفرم‌های مختلف به تفکیک و باذکر مشخصاتی نظیر نسخه، تاریخ انتشار در مستندات مربوطه

·     نرم‌افزارهای جانبی مدیریت پودمان رمزنگاشتی که همراه با محصول ارائه می‌شود.

·   استاندارد اصلی واسط، جهت آزمون و ارزیابی کارکردی در آزمایشگاه، «استاندارد PKCS#11 » می‌باشد.

·   کلیه ابزارهای همراه پودمان رمزنگاشتی، اعم از راه‌اندازها، توابع کتابخانه‌ای واسط‌ها و یا برنامه‌های کاربردی همراه، می‌بایست با گواهی الکترونیکی امضای کد معتبر (ترجیحاً گواهی معتبر در زیرساخت کلید عمومی کشور)، امضا شده باشند.

فرایند آزمون و ارزیابی، دارای گام‌هایی است که در ادامه شرح داده خواهد شد. كليه تعاملات بین متقاضی و آزمایشگاه در قالب نمونه فرم‌هایی است که در « نمونه فرم ها » درج شده است.

گام اول (تشکیل پرونده)

متقاضی، نامه درخواست ارزیابی پودمان رمزنگاشتی را مطابق با فرم شماره 1 « درخواست تشکیل پرونده » تکمیل و برای مرکز توسعه تجارت الکترونیکی ارسال می‌نماید. آزمایشگاه نیز پس از بررسی درخواست، طی نامه‌ای مطابق با فرم شماره 2 « تشکیل پرونده » تشکیل پرونده را به متقاضی اعلام می‌کند.

گام دوم (ممیزی اسناد)

متقاضی حداکثر تا تاریخ تعیین‌شده در نامه تشکیل پرونده، موظف به تهیه مستندات الزامی مطرح در جدول پیش نیاز ها و ارسال آن‌ها به آزمایشگاه خواهد بود. همچنین متقاضی می‌بایست طی نامه‌ای مطابق با بخش فرم شماره 4 « معرفی نماینده » نماینده تام‌الاختیار خود را جهت تعامل با آزمایشگاه معرفی نماید.

آزمایشگاه نیز کلیه مستندات و فرم‌های خوداظهاری را بررسی نموده و در صورت وجود نقص و مغایرت یا عدم کفایت، طی نامه‌ای مطابق با فرم شماره 5 « اعلام نقص در مستندات » ، نقایص موجود را به متقاضی اعلام می‌کند؛ اما در صورت کامل بودن مستندات، آزمایشگاه طی نامه‌ای مطابق با فرم شماره 6 « نوبت نصب/تحویل » ، نوبت نصب/تحویل محصول (در صورت نیاز به نصب) را به متقاضی اعلام کند.

گام سوم (نصب/تحویل)

متقاضی موظف است پس از دریافت نوبت، حداکثر تا تاریخ تعیین شده، محصول مورد نظر را به آزمایشگاه تحویل دهد. در صورتی که محصول متشکل از مولفه‌های متعددی باشد (مانندHSMو یا توکن‌های نرم‌افزاری)، لازم است متقاضی در محل آزمایشگاه حاضر و اقدام به نصب و راه‌اندازی محصول نموده و محیط کاملاً عملیاتی محصول را به آزمایشگاه تحویل نماید. محصول ارائه شده به آزمایشگاه، می‌بایست نمونه نهایی عملیاتی و قابل ارائه به بازار باشد.

مسئولیت عدم انطباق محصول ارائه شده به آزمایشگاه با مستندات ارسالی بر عهده متقاضی بوده و چنانچه در حین انجام فرآیند آزمون و یا پس از آن هرگونه نقص یا مغایرت آشکار با اطلاعات قیدشده در مستندات تشخیص داده شود، محصول از چرخه آزمون و ارزیابی خارج شده و با در نظر گرفتن فرانشیز زمانی، نوبت نصب/تحویل مجدد را مطابق با فرم شماره 6 « نوبت نصب/تحویل » برای متقاضی ارسال نماید.

نکته 1:

آزمایشگاه هیچگونه مسئولیتی در قبال خرابی محصولات در حین انجام آزمون و یا پس از آن نپذیرفته و نمونه‌های محصول مورد ارزیابی، پس از آزمون، در بایگانی نگهداری خواهند شد (به جز موارد استثنا نظیر HSM).

نکته 2:

ذکر این نکته ضروری است که متقاضی می‌تواند درصورت عدم تمایل به ادامه آزمون، در هر مرحله، انصراف خود را مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید.

 

گام چهارم (ارزیابی)

در این مرحله آزمایشگاه متناسب با نوع محصول، اطلاعات مندرج در مستندات خوداظهاری و شاخص‌های و معیارهای تعیین شده در استاندارد مربوطه، اقدام به تعیین محدوده آزمون نموده و سپس عملیات آزمون و ارزیابی محصول را شروع می‌نماید. درصورتی‌که نیاز به ارزیابی کد منبع محصول باشد، آزمایشگاه، طی نامه‌ای مطابق با فرم شماره 7 « ارزیابی کد منبع » اعلام می‌نماید.

گام پنجم (تایید/رد)

نتیجه نهایی ارزیابی هر محصول و سطح امنیتی اتخاذ شده، در صورت تایید از طریق سایت مرکز توسعه تجارت الکترونیکی منتشر می‌گردد. در صورتیکه متقاضی به دلایل امنیتی، مایل به انتشار نام محصول از طریق پورتال مرکز توسعه تجارت الکترونیکی نیست، بایستی این موضوع را در زمان تشکیل پرونده (در قالب فرم خوداظهاری) به آزمایشگاه اطلاع دهد.

ممکن است در طول انجام عملیات آزمون و ارزیابی، اشکالات و خطاهای بحرانی بروز دهد و به‌واسطه آن ادامه عملیات امکان‌پذیر نباشد. در این صورت آزمایشگاه، طی نامه‌ای مطابق با فرم شماره 8 « توقف ارزیابی » ، توقف ارزیابی را به متقاضی اعلام می‌کند. همچنین گزارشی از خطاهای بحرانی نیز به پیوست همین نامه  به متقاضی تحویل می‌گردد. در این مرحله متقاضی موظف به تعیین وضعیت محصول مورد ارزیابی (تمایل به تکرار ارزیابی/ انصراف) در آزمایشگاه می‌باشد.

بنابراین متقاضی ضمن اخذ مهلت جهت رفع نقایص و خطاهای گزارش‌شده، نامه درخواست تکرار ارزیابی را مطابق با فرم شماره 9 « درخواست تکرار ارزیابی » به آزمایشگاه ارائه می‌نماید. آزمایشگاه نیز ضمن بررسی این درخواست، مدت‌زمان موردنیاز جهت رفع اشکالات و خطاهای بحرانی و آمادگی جهت تکرار ارزیابی را بررسی نموده و فرایند ارزیابی از گام دوم (ممیزی اسناد) برای محصول تکرار می‌شود. در غیر این صورت متقاضی موظف است اعلام انصراف خود را از فرایند آزمون و ارزیابی مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید.